Android VpnServiceの和訳

先日ルート化せずにパケットキャプチャが可能なtPacketCaptureをリリースしました。
tPacketCaptureは、Android4.0で追加されたVPNに関する機能を利用しています。しかしながらこのVPNに関する技術的な説明は、VpnServiceクラスに書いてあるのみです。
少しでも参考になればと思い、和訳+αとしてVpnServiceについての解説をします。

vpsservice_notification.png

和訳の前に、VpnServiceを使うことで実現できできそうな機能を考えてみます。
そもそも、VPN(Virtual Private Network)自体はICS以前のAndroidでも利用可能でした。
しかし、システムの設定として利用するVPNでは、アプリケーションごとに合わせたカスタマイズができませんでした。
そこでICSから、VpnServiceクラスが提供され、VPNを利用するアプリケーションを作成できるようになりました。
特に企業向けアプリケーションで利用することを想定しているようです。

VpnServiceを利用すれば、パケットを全て監視することが可能になります。
そのため、以下の様な機能も作れます。

  • 通信先IPによって、VPNサーバを利用するか自動で切り替える(VPN経由でアクセスできないサーバへは直接接続する)
  • 通信先IPによるフィルタ機能の実現(マルウェアの通信を完全にシャットアウト)


その他にもいろいろ発展しそうです。

以下、リファレンスの和訳になります。

Android Developers VpnService:
http://developer.android.com/intl/ja/reference/android/net/VpnService.html

VpnServiceは、独自にVPN機能を拡張したり、構築するときに利用できるベースクラスです。
一般的に、VpnServiceが、Vertual Networkインタフェースの作成、アドレス設定、ルーティング設定、そしてディスクリプタの返却を実施します。
ディスクリプタから読み出すことにより、インタフェースに送られた送信パケットを取り扱えます。
ディスクリプタに書き込むことにより、インタフェースが受信したかのように、パケットを追加することができます。
インタフェースはInternet Protocol(IP)上で動作していますので、全てのパケットはIPヘッダーで始まっています。
トンネルを通して遠隔サーバとパケットを交換し処理を行うことで、アプリケーションはVPN接続を実現できます。

アプリケーションにパケットを渡すことで、セキュリティ的な危険が出てきます。
VPNアプリケーションは簡単にネットワークを切断することができます。
加えて、2つのVPNアプリケーションが存在する場合、お互いに干渉するでしょう。
システム側ではこれらの問題に対応する為、いくつかの動作を行います。
ポイントを以下に示します。

  • VPN接続を行うためには、ユーザの操作が必要です(図1
  • 一度に1つのVPN接続しか存在できません。新しい接続が作られるときには、古い接続が無効にされます
  • VPN接続を行っている間は、システムがノーティフィケーションを表示します(図2
  • 現在のVPN接続の情報を提供するダイアログを、システムが提供します。切断のボタンもついています(図3
  • ファイルディスクリプタが閉じられた時でも、ネットワークは自動的に再接続されます。これは、VPNアプリケーションがシステムにkillされた場合も同様になります

図1

vpsservice_dialog_start.png

図2

vpsservice_notification.png

図3

vpsservice_dialog_disconnect.png

このVpnServiceクラスには、2つの主要なメソッドがあります。
prepare(Context) と establish()です。
前者は、ユーザの操作を取り扱ったり、他のアプリケーションによって生成され
たVPN接続を停止します。
後者は、VpnService.Builderにパラメータを渡すことで、VPNインタフェースを
生成します。
アプリケーションは、必ずprepare(Context)を呼ばなければなりません。
このことにより、本クラスの他のメソッドを使用することを許可でき、また、い
つでも許可を無効にすることができます。
VPN接続を生成するための一般的な手順を以下に示します。

  1. 接続のボタンをユーザが押した時、prepare(Context)が呼ばれ返されたintentで起動します
  2. アプリケーションの準備ができた時点でServiceが開始されます
  3. 遠隔サーバに呈してトンネルが生成され、VPN接続のためにネットワークパラメータをやり取りします
  4. これらのパラメータをVpnService.Builderに渡し、establish()を呼び出すことでVPNインタフェースが生成されます
  5. トンネルと返されたファイルディスクリプタの間で、処理やパケットの交換を実施してください
  6. onRevoke()が呼び出された時、ファイルディスクリプタはcloseされ、トンネルは直ぐに切断されます

このクラスを継承したServiceはパーミッションとintent-filterを必要とします。
BIND_VPN_SERVICE パーミッションによりServiceは保護されなければならないし、intent-filterはSERVICE_INTERFACEアクションに一致しなければいけません。
AndroidManifest.xmlに記載するVPNサービスの定義例を以下に示します。

 <service android:name=".ExampleVpnService"android:permission="android.permission.BIND_VPN_SERVICE"><intent-filter><action android:name="android.net.VpnService"/></intent-filter></service>

このVpnServiceは4.0リリース直後のエミュレータだと動作しませんでしたが、最新のエミュレータでは動作させる事が可能です。

ブログ内の関連する記事

Share on Tumblr
LINEで送る

コメント

コメントを投稿

このブログの人気の投稿

ドローンプログラミング体験教室を伊豆大島の小学校でしてきました

イメージ
最近このタオソフトウエアブログに、弊社杉山の伊豆大島記事がアップされています。彼は昨年から地域活性化企業人として、伊豆大島で仕事をしており通常業務をしておりますが、今回地域活性化企業人の企画第一弾として、ドローンプログラミング体験教室を行いました。(第二弾があるかはよくわかりません)。 コロナにより子供達は不自由な暮らしをしてきています。大人であれば行動制限は仕方のない事だと理解できるし、旅行やイベントはコロナ収まってから行けばよいやと納得も可能です。しかし子供達は修学旅行とか、運動会とか、その年代にしか体験できないイベントが多くあります。行動制限など納得できない事が多いと思います。しかも島という地理的特色により、他の地域の子供達より多く行動に制限がかかってしまっています。 そこで、少しでも子供たちに楽しんでもらえたらと思い、プログラミングとドローンを両方勉強できて、さらに楽しいというお得な、ドローンプログラミング教室を開催しました。 だって、ドローン飛ばすの楽しいですからね 開催目的 大島に住む小中学校の「IT」に対する興味や関心を高めたい。 新型コロナウイルスによる影響で色々な制限をうけている中、少しでも驚きや楽しみを味わってもらいたい。 開催情報 日時:8月29日(月) 13:30~15:30 場所:椿小学校 体育館 対象:椿小学校6年生 参加費:無料 主催:大島町役場 総務課 電子研鑽係(地域活性化企業人制度) 講師:タオソフトウエア株式会社、 株式会社ナレッジエックス 当日 ドローンプログラミング教室は、大島の3つの小学校でそれぞれ行います。第一回目は、つばき小学校。正門がすごい立派で周りの木々も含めとても、趣がある小学校でした。8月29日(月)は、大島町ではまだ夏休みで、人がほとんどいなかったのもあり、静寂に包まれた落ち着いた小学校で素敵でした。 つばき小学校正門 今回のイベントは、大島に赴任している地域活性化企業人が企画しましたが、大人向けのプログラミング教室ならともかく、子供にプログラミングを教えるのは、ちょっと荷が重いかなと思い、教育関係の仕事をしていて、タオソフトウエアの新人教育等にもお世話になったことのある、 株式会社ナレッジエックス さんをお誘いして一緒に授業を行う事にしました。 授業内容 ドローンについての一般知識座学 ドローンを飛ばしてみ...
続きを読む

iBatisで動的SQL

イメージ
iBatisで動的なSQLを発行する方法ですが、sqlMap.xmlの内容を編集するだけです。 以下に簡単な例をあげておきます。(sqlMap内のselectタグだけ記載しています) <select id=”getUser2″ resultMap=”resultUser”> SELECT ID AS id, NAME AS name FROM USER_TABLE <dynamic prepend=”WHERE”> <isGreaterThan property=”id” compareValue=”0″> ID=#id# <isGreaterThan> </dynamic> </select>
続きを読む

情報処理安全確保支援士登録証のカード型が届きました。

イメージ
情報処理安全確保支援士は、サイバーセキュリティ分野の日本国の国家資格ですが、本日登録証が届きました。 2020年5月に制度見直しが入り、カード型の登録証が登場しました。 制度見直しについて: https://www.ipa.go.jp/siensi/kaisei.html 情報処理安全確保支援士の情報は、あまりネットに上がっていないので、情報共有です。 表 パット見て車の免許証みたい。いや保険証かな、年数によりグリーン、ブルー、ゴールドと色が変わるらしい。(ゴールドとか運転免許みたい)、でもこれって、せっかく作ったのに、今のデジタル庁云々の話の流れで、マイナンバーカードに統合されてしまい短い命なのではないかなと思ったりします。 カードの色について: https://www.ipa.go.jp/siensi/toberiss/index.html ※生年月日の部分だけ加工しました。 ※登録番号は、公開番号なので大丈夫です。 ※名前は、私の場合隠しても意味がないです 裏 「登録削除されたときは、この登録証を返納すること」の記載が気になりました。維持していくのに結構な金額がかかるので、講習等でお金を払うタイミングで、やめるかを決める事になるかと思いますが、カード返納するの忘れそう。 まとめ カードが届いて少し気分が上がりました。1枚のカードでしかないですが、セキュリティ関係もう少しアクティブに動くかなという気持ちになります。 情報処理安全確保支援士は、士業なのに、今のところあまりメリットがないと言われてきてますが、専業業務も少し出てきていますし、中の人も結構いろいろと頑張っているようです。私としては、これを持っていると、脆弱性チェックがしやすくなるように、不正アクセス禁止法がある程度緩和されると良いのになと思ってます。 ふと気が付けば、ここにブログ記事を書くのは2年ぶりでした。久しぶりすぎてログイン自体てこずりました。 Share on Tumblr Tweet
続きを読む